domenica, Novembre 24, 2024

Configurare una rete IPSec Fully Meshed (Router-Router)

Mario Majcica
Mario Majcicahttp://blog.majcica.com/
Diploma presso l'Istituto Tecnico Commerciale come perito aziendale e programmatore. Ha iniziato come programmatore VB6 in un azienda a Perugia e poi, viste le esigenze, si è dato alla "sistemistica". Al momento non è in possesso di certificazioni Cisco ma per gennaio la CCNA dovrebbe arrivare. Ha esperienza varia ed eventuale sui router di piccola "taglia" fino a 2821 e sui Cisco PIX firewall. Conosce bene le VPN in tutte le loro forme e la security in generale.

Introduzione

In questa guida cercheremo di configurare e spiegare in maniera adeguata tutti i passaggi per creare una rete VPN IPSec tra più router Cisco in maniera Fully Meshed, ovvero, un collegamento tutti-a-tutti. Inoltre definiremo un punto d’accesso Remote VPN su uno dei router, dando la possibilità di accedere a tutte le altre sottoreti da un punto unico. La spiegazione potrebbe confondere, ma consultanto il diagramma qui sotto, il tutto sarà più chiaro.

Diagramma di rete

VPN Fully Meshed
VPN Fully Meshed

Come potete vedere si tratta di tre router Cisco con una VPN che lega tutti-a-tutti. Si tratta nel nostro caso (l’esempio della guida è realmente testato) di tre router Cisco 877, con IOS versione 12.4(22)T. La connessione verso internet è ADSL, mentre lato interno abbiamo una Vlan con tutte e quattro interfacce FastEthernet associate ad essa. Tutti i router sull’interfaccia ADSL hanno l’IP impostato sul .1, mentre lato LAN sul .254. Finita la configurazione della VPN tra i router configureremo una Remote Access VPN (accesso VPN tramite il Cisco VPN client), al router di Milano, inoltre apporteremo delle modifiche in modo da permettere di accedere anche ad altre reti interne di Firenze e Roma.

Riepilogo

Router Milano:

  • Cisco 877 con IOS versione 12.4(22)T
  • Interfaccia WAN ADSL, IP 82.164.82.1 /29
  • Interfaccia WAN ETH, IP 10.10.10.254 /24

Router Firenze:

  • Cisco 877 con IOS versione 12.4(22)T
  • Interfaccia WAN ADSL, IP 82.164.84.1 /29
  • Interfaccia WAN ETH, IP 10.10.11.254 /24

Router Roma:

  • Cisco 877 con IOS versione 12.4(22)T
  • Interfaccia WAN ADSL, IP 82.164.83.1 /29
  • Interfaccia WAN ETH, IP 10.10.12.254 /24

Configurazione

Partiamo con la configurazione del router Milano.

Router Milano

Accertiamoci che le interfacce siano configurate in maniera opportuna:

interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
 description Alice Business 20M TGU
 ip address 88.44.22.118 255.255.255.252 secondary
 ip address 82.164.82.1 255.255.255.248
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat outside
 ip virtual-reassembly
 snmp trap ip verify drop-rate
 pvc 8/35 
  encapsulation aal5snap
!
interface Vlan1
 description Interfaccia LAN Inside
 ip address 10.10.10.254 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly

Notate che abbiamo definito l’interfaccia LAN come ip nat inside, mentre l’interfaccia WAN come ip nat outside. Successivamente creremo delle regole per far si che il nat sia configurato correttamente e che il trafficco venga suddiviso correttamente (escludendo dal processo di nat lo scambio delle informazioni tra i tunnel).

Adesso iniziamo sulla effettiva configurazione della VPN. Iniziamo con la definizione della policy Internet Key Exchange (IKE) e delle chiavi pre-shared per ciascun punto remoto.

crypto isakmp policy 1
 authentication pre-share
!
crypto isakmp key mrfmrf address 82.164.83.1 no-xauth
crypto isakmp key mrfmrf address 82.164.84.1 no-xauth
crypto isakmp keepalive 40 5
crypto isakmp nat keepalive 20

Definiamo la codifica (transform-set) da utilizzare:

crypto ipsec transform-set ROMA esp-des esp-md5-hmac 
crypto ipsec transform-set FIRENZE esp-des esp-md5-hmac 

Naturalmente, potremmo definire un’unico transform set ed utilizzarlo per impostare la codifica verso entrambi i peer, ma preferisco questo medoto sia per la chiarezza nella configurazione che per dare la possibilità di effettuare modifiche e di diversificare la codifica verso alcuni peer (si ipotizzi che domani bisogna aggiungere un’altro punto VPN che non usi le apparecchiature cisco e che la codifica scelta non sia disponibile).

Articoli correlati

Noleggia una Tesla per il tuo evento ICT!

Categorie